Home אבטחת מידעInformation Security התקפת IDN – שימוש בPunycode לניצול חולשה בדפדפן וכך לבצע Phishing מתחוכם ביותר

התקפת IDN – שימוש בPunycode לניצול חולשה בדפדפן וכך לבצע Phishing מתחוכם ביותר

by Tal Ben Shushan 19/04/2017 0 comment
התקפת IDN – שימוש בPunycode לניצול חולשה בדפדפן וכך לבצע Phishing מתחוכם ביותר

התקפת הומוגרף IDN – שימוש בPunycode לניצול חולשה בדפדפן לביצוע Phishing מתחוכם ביותר

במאמר שפירסם חוקר בשם  Xudong Zheng (קישור למאמר), מצא ששימוש בהומוגרף יכול ליצור מצב בו אתר מחקה אתר אחר בצורה כל כך מתחוכמת שגם המשתמש המנוסה ביותר יכול ליפול.
כאשר אתם נכנסים לאתר כמו Gmail.com או Apple.com או Facebook.com אתם בודקים אם קיים ה https:// ואם כן “סומכים” שזהו האתר מקורי ואין שום בעיה להזין את שם המשתמש והסיסמא.

אז בואו נבדוק את התאוריה הזו: (החולשה קיימת בדפדפנים: כרום, פיירפוקס ואופרה)

https://аррӏе.com/

ואז לאתר המקורי

https://apple.com/

הבחנתם בקלות מה האתר האמיתי ומה לא?
נכנס לאתר המזוייף ונבדוק את תעודת האבטחה של האתר נראה כי התעודה הונפקה ל xn--80ak6aa92e.com אז אך זה יכול להיות שהכתובת שונה ממה שרשום? ואך עובדת החולשה הזו בדיוק?

אתם יכולים להשתמש בUnicode שונה על מנת לכתוב אות זהה מאוד לאות אחרת באנגלית, למשל U+04CF הוא למעשה אות מרוסית ӏ , פאלוצ’קה והיא דומה מאוד לאות L באנגלית (l כאות קטנה באנגלית וL באנגלית באות גדולה)
כך שאני יכול לכתוב https://apple.com ולהשתמש בL שלפני הE עם האות פאלוצ’קה הרוסית וכך יצא לי https://аррӏе.com, אבל אם אני אעתיק את הכתובת של אפל שכתבתי בירוק לכתבן (Notepad) אני אקבל

 

ואילו אם אעתיק את הכתובת של אפל (באדום) שאותה כתבתי עם הפאלוצ’קה, אני אקבל


ואך קורה דבר כזה? החוקר Xudong Zheng השתמש בa שונה, הוא השתמש ב a שהיא cyrillic (לחצו כאן) במקום בa רגילה (לחצו כאן) ולכן הכתובת המזוייפת למעשה מתחילה בxn-- שאומר לו שזהו ASCII בו האתר משתמש בבPunycode ,

Punycode הוא מנגנון להגנה מפני פישניג שבו המנגון משתמש בסט תווים שממירים אותיות שנמצאות בטווח A-Z ו1-9 בASCII שכן כאשר משתמשים באות שדומה לאות אחרת כמו Ϝacebook (ניתן לראות שF קצת שונה) הוא לא יתן לכך שיהיה שוני וימיר את ה Ϝ ל Unicode שהוא רצף של אותיות ומספרים כך שאתם מקישים  https://xn--80ak6aa92e.com ה XN בהתחלה אומר לו שהוא משתמש ב Punycode ואז ממיר את 80ak6aa92e ל аррӏе ואז השימוש בIDN ממיר את האותיות לאותיות שדומות ממש לאותיות שקיימות וכך אתם לא מבחינים בשינוי.

מה שעוד מיוחד כאן זה היכולת לחתום עם תעודה דיגטלית את הכתובת xn--80ak6aa92e.com ואז בעצם על ידי התרגום המשלוש הזה לחתום את הכתובת apple.com

אותו תרגום “משולש”:

1. הכתובת: https://аррӏе.com/ (שהאות L כתובה באות פאלוצ’קה, והa למעשה כתובת בCyrillic )

מתורגמת כ- 

2.  יש לתרגם: על ידי מחשבון זה http://punycodetoidn.com/index.php  (סמנו למטה Punycode to IDN)

 

3. הכתובת https://xn--80ak6aa92e.com מוצגת כ- https://аррӏе.com/ (הכתובת עם האות ברוסית והאות a בCyrillic) ואז ה Punycode מציג לכם את הכתובת כ https://аррӏе.com/ שנראית לכם אמיתית לגמרי ועלולה לרמות אתכם.

—–

התהליך בדפדפן קורה בדיוק הפוך, אתם נכנסים לאתר שכתוב באתר https://аррӏе.comוהוא מוצג לכם כhttps://аррӏе.com/שהוא IDN תקין שכן המטרה היא להמיר את השם לשם תקין ואז הכתובת האמיתית היא https://xn--80ak6aa92e.com שכן ה XN– אומר שזהו Punycode ואז הכתובת מומרת ל

 

דבר נוסף – כאשר תעתיקו את הכתובת https://аррӏе.com/ לאינטרנט אקספלורר ותלחצו Enter תקבלו את הכתובת https://xn--80ak6aa92e.com ואפילו התעודת אבטחה הנופקה בעצם ל xn--80ak6aa92e.com

כאשר העתקתם למעלה את האתר של אפל הבחנתם בשינוי באותיות, אבל נסו להעתיק את האתר הבא:

האתר המזוייף:

https://www.еріс.com/

האתר המקורי:

https://www.epic.com/

אין שוני אפילו בכתבן, אבל אם תעתיקו את р מתוך https://www.еріс.com/ ותרשמו בגוגל, תראו שזהו р ב Cyrillic מיוונית וגם і והקושי לזהות הוא גדול…

ניתן להוריד את התוסף לכרום שאמור להתריע לכם כאשר אתר משתמש בPunycode או לבטל הגדרה זו בדפדפן

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

מאמרים קשורים

Leave a Comment